Un bug nei processori Intel implica una significativa perdita di prestazioni

Ancora una volta, la discussione si sposta sui problemi di sicurezza che affliggono diversi processori sul mercato. Questa volta vale la pena sottolineare il riconoscimento congiunto da parte di Intel ed Microsoft riguardante una vulnerabilità che colpisce dozzine di processori Intel. La situazione difficile sta nel fatto che risolvere questo difetto nei processori Intel comporta un sostanziale compromesso in termini di prestazioni.

In seguito alla rivelazione di vulnerabilità come Spectre e Meltdown, che prendevano di mira principalmente i processori Intel, sono emerse numerose vulnerabilità aggiuntive. La proliferazione di tali problemi deriva dal maggiore controllo applicato a livello di silicio. Prima di ciò, le indagini non erano state così approfondite, ma la necessità di tale esame è stata inequivocabilmente dimostrata.

Da allora, è emersa un’impennata di queste vulnerabilità della sicurezza, con un conseguente impatto sulle prestazioni. È importante riconoscere che i rimedi ideati portano intrinsecamente a un degrado delle prestazioni complessive del sistema.

vulnerabilità CPU Intel

Intel affronta ancora una volta la sfida della vulnerabilità

Ancora una volta, Intel si trova alle prese con vulnerabilità della sicurezza. Il punto focale della preoccupazione questa volta è una vulnerabilità che prende di mira il canale laterale dell’esecuzione transitoria o speculativa. A questo difetto, noto come Gather Data Sampling (GDS) o, in alternativa, "Downfall", è stato assegnato l'identificatore tecnico CVE-2022-40982.

L'impatto di questa vulnerabilità si estende ai processori Intel dalla settima generazione all'undicesima generazione. In particolare, i processori della 7a generazione (Alder Lake) e della 11a generazione (Raptor Lake) sembrano essere esenti da questo problema. Queste ultime generazioni incorporano Trust Domain eXtension (TDX), una funzionalità che isola efficacemente le macchine virtuali (VM) dai gestori di macchine virtuali (VMM).

Questo isolamento crea un ambiente protetto simile a un sistema a forma di bolla, in cui le macchine virtuali isolate dall'hardware sono essenzialmente designate come "domini attendibili".

processori Intel Comet Lake

Approfondendo l'argomento, un documento Microsoft collegato alla patch KB5029778 spiega:

"Microsoft è a conoscenza di un nuovo attacco con esecuzione transitoria chiamato Data Collection Sampling (GDS) o 'Drop.' Questa vulnerabilità potrebbe essere utilizzata per dedurre dati dalle CPU interessate oltre i confini di sicurezza come kernel utente, processi, macchine virtuali (VM) e ambienti di esecuzione affidabili”.

La spiegazione di Intel di Downfall comprende i seguenti processori:

  • 7a generazione (Kaby Lake)
  • 8a generazione (Coffee Lake)
  • 9a generazione (aggiornamento Coffee Lake)
  • 10a generazione (Lago Comet)
  • 11a generazione (Rocket Lake su desktop/Tiger Lake su dispositivi mobili)

È interessante notare che i suddetti processori non dispongono della Trust Domain eXtension, una funzionalità introdotta dalla 12a generazione in poi. Secondo la spiegazione di Intel:

“Il Gather Data Sampling (GDS) è una vulnerabilità del canale laterale di esecuzione transitoria che colpisce alcuni processori Intel. In scenari specifici, durante un'istruzione di raccolta che coinvolge determinati carichi di memoria, un utente malintenzionato potrebbe sfruttare questo tipo di istruzione per dedurre dati non aggiornati dai registri vettoriali utilizzati in precedenza. Questi registri potrebbero corrispondere a quelli utilizzati dallo stesso thread o dal thread fratello sullo stesso core del processore.

cpu intel

Mitigazione dell'impatto sulle prestazioni

Intel ha ufficialmente riconosciuto che questa vulnerabilità può essere risolta tramite un aggiornamento del microcodice o un aggiornamento della piattaforma Intel. Si consiglia una rapida implementazione dell'aggiornamento consigliato per mitigare efficacemente la vulnerabilità.

In modo familiare, ci imbattiamo nel tipico enigma: una violazione della sicurezza che richiede l'applicazione di patch tramite mezzi software, con un impatto inevitabile sulle prestazioni. Sorprendentemente, la somiglianza con le vulnerabilità Spectre e Meltdown è sorprendente, con la deduzione che queste vulnerabilità siano state apparentemente risolte a partire dalla nona generazione di processori Intel.